【計算機網(wǎng)絡(luò)安全基礎(chǔ)】計算機病毒的防治

第6章計算機病毒的防治

計算機病毒的防御對網(wǎng)絡(luò)管理員來說是一

個望而生畏的任務(wù)。特別是隨著病毒的越來越

高級，情況就變得更是如此。目前，幾千種不

同的病毒不時地對計算機和網(wǎng)絡(luò)的安全構(gòu)成嚴(yán)

重威脅。因此，了解和控制病毒威脅的需要顯

得格外的重要，任何有關(guān)網(wǎng)絡(luò)數(shù)據(jù)完整性和安

全的討論都應(yīng)考慮到病毒。

算機網(wǎng)絡(luò)安全基礎(chǔ)

第6章計算機病毒的防治

本章主要內(nèi)容：

1.計算機病毒、

2.計算機病毒的傳播

3.計算機病毒的特點及破壞行為

4.宏病毒及網(wǎng)絡(luò)病毒

5.病毒的預(yù)防、檢查和清除

6.病毒防御解決方案

11年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6」什么是計算機病毒

計算機病毒是一種“計算機程序”，它不僅能破壞

計算機系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。它通

常隱藏在其它看起來無害的程序中，能生成自身的復(fù)制

并將其插入其它的程序中，執(zhí)行惡意的行動。

通常，計算機病毒可分為下列幾類。

(1)文件病毒。該病毒在操作系統(tǒng)執(zhí)行文件時取得控

制權(quán)并把自己依附在可執(zhí)行文件上，然后，利用這些指

令來調(diào)用附在文件中某處的病毒代碼。當(dāng)文件執(zhí)行時，

病毒會調(diào)出自己的代碼來執(zhí)行，接著又返回到正常的執(zhí)

行系列。通常，這些情況發(fā)生得很快，以致于用戶并不

知道病毒代碼已被執(zhí)行。

網(wǎng)絡(luò)安全基礎(chǔ)

6」什么是計算機病毒

（2）引導(dǎo)扇區(qū)病毒。它會潛伏在軟盤的引導(dǎo)扇區(qū)，或

者是在硬盤的引導(dǎo)扇區(qū)，或主引導(dǎo)記皋（分區(qū)扇區(qū)中插

入指令）。此時，如果計算機從被感染的軟盤引導(dǎo)時，

病毒就會感染到引導(dǎo)硬盤，并把自己的代碼調(diào)入內(nèi)存。

軟盤并不需要一定是可引導(dǎo)的才能傳播病毒，病毒可駐

留在內(nèi)存內(nèi)并感染被訪問的軟盤。觸發(fā)引導(dǎo)區(qū)病毒的典

型事件是系統(tǒng)日期和時間。

（3）多裂變病毒。多裂變病毒是文件和引導(dǎo)扇區(qū)病毒

的混合種，它能感染可執(zhí)行文件，從而能在網(wǎng)上迅速傳

播蔓延。

網(wǎng)絡(luò)安全基礎(chǔ)

6」什么是計算機病毒

(4)秘密病毒。這種病毒通過掛接中斷把它所進行的修

改和自己的真面目隱藏起來，具有很大的欺騙性。因此,

當(dāng)某系統(tǒng)函數(shù)被調(diào)用時，這些病毒便“偽造”結(jié)果，使

一切看起來非常正常。秘密病毒摧毀文件的方式是偽造

文件大小和日期，隱藏對引導(dǎo)區(qū)的修改，而且使大多讀

操作重定向。

(5)異形病毒。這是一種能變異的病毒，隨著感染時間

的不同而改變其不同的形式。不同的感染操作會使病毒

在文件中以不同的方式出現(xiàn)，使傳統(tǒng)的模式匹配法對此

顯得軟弱無力。

算機網(wǎng)絡(luò)安全基礎(chǔ)

6」什么是計算機病毒

(6)宏病毒。宏病毒不只是感染可執(zhí)行文件，它可以感

染一般軟件文件。雖然宏病毒不會有嚴(yán)重的危害，但它

仍是令人討厭的，因為它會影響系統(tǒng)的性能以及用戶的

工作效率。宏病毒是利用宏語言編寫的，不面向操作系

統(tǒng)，所以，它不受操作平臺的約束，可以在DOS、

Windows>Unix、Mac甚至在OS/2系統(tǒng)中散播。這就是

說，宏病毒能被傳到任何可運行編寫宏病毒的應(yīng)用程序

的機器中。宏病毒對病毒而言是一次革命。現(xiàn)在通過E-

mail、3W強大的互聯(lián)能力及宏語言的進一步強化，極

大地增強了它的傳播能力。

1網(wǎng)絡(luò)安全基礎(chǔ)

6.2計算機病毒的傳播

621計算機病毒的由來

計算機病毒是由計算機黑客們編寫向、這些人想證

明它們能編寫出不但可以干擾和摧毀計算機，而且能將

破壞傳播到其它系統(tǒng)的程序。

最早被記錄在案的病毒之一是1983年由南加州大學(xué)

學(xué)生FredCohen編寫的，當(dāng)該程序安裝在硬盤上后，就

可以對自己進行復(fù)制擴展，使計算機遭到“自我破壞”

1985年病毒程序通過電子公告牌向公眾提供。

網(wǎng)絡(luò)安全基礎(chǔ)

6.2計算機病毒的傳播

622計算機病毒的傳播

計算機病毒通過某個入侵點進入系統(tǒng)來感染該系統(tǒng)。

最明顯的也是最常見的入侵點是從工作站傳到工作站的

軟盤。在計算機網(wǎng)絡(luò)系統(tǒng)中，可能的入侵點還包括服務(wù)

器、E-mail附加部分、BBS上下載的文件、3W站點、

FTP文件下載、共享網(wǎng)絡(luò)文件及常規(guī)的網(wǎng)絡(luò)通信、盜版

軟件、示范軟件、電腦實驗室和其它共享設(shè)備。此外，

也可以有其它的入侵點。

病毒一旦進入系統(tǒng)以后，通常用以下兩種方式傳播：

(1)通過磁盤的關(guān)鍵區(qū)域；

(2)在可執(zhí)行的文件中。

網(wǎng)絡(luò)安全基礎(chǔ)

6.2計算機病毒的傳播

6.2.3計算機病毒的工作方式

一般來說，病毒的工作方式與病毒所能表現(xiàn)出來的

特性或功能是緊密相關(guān)的。病毒能表現(xiàn)出的幾種特性或

功能有：感染、變異、觸發(fā)、破壞以及高級功能(如隱

身和多態(tài))。

1.感染

任何計算機病毒的一個重要特性或功能是對計算機

系統(tǒng)的感染。事實上，感染方法可用來區(qū)分兩種主要類

型的病毒：引導(dǎo)扇區(qū)病毒和文件感染病毒。

(1)引導(dǎo)扇區(qū)病毒

引導(dǎo)扇區(qū)病毒的一個非常重要的特點是對軟盤和硬

盤的引導(dǎo)扇區(qū)的攻擊。

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.2計算機病毒的傳播

引導(dǎo)扇區(qū)是大部分

系統(tǒng)啟動或引導(dǎo)指令所

保存的地方，而且對所

有的磁盤來講，不管是

否可以引導(dǎo)，都有一個

引導(dǎo)扇區(qū)。感染的主要

方式就是發(fā)生在計算機

通過已被感染的引導(dǎo)盤

（常見的如一個軟盤）

引導(dǎo)時發(fā)生的。

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

(2)文件型病毒

文件型病毒與引導(dǎo)扇區(qū)病毒最大的不同之處是，

它攻擊磁盤上的文件。它將自己依附在可執(zhí)行的文件

(通常是.com和.exe)中，并等待程序的運行。這種病

毒會感染其它的文件，而它自己卻駐留在內(nèi)存中。當(dāng)

該病毒完成了它的工作后，其宿主程序才被運行，徒

人看起來仿佛一切都很正常。

1網(wǎng)絡(luò)安全基礎(chǔ)

6.2計算機病毒的傳播

覆蓋型文件病毒的一個特點是不改變文件的長度，

使原始文件看起來非常正常。即使是這件，一般的病毒

掃描程序或病毒檢測程序通常都可以檢測到覆蓋了程序

的病毒代碼的存在。

前依附型文件病毒將自己加在可執(zhí)行文件的開始部

分，而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件

的末尾。

伴隨型文件病毒為.exe文件建立一個相應(yīng)的含有病

毒代碼的.com文件。當(dāng)運行.EXE文件時，控制權(quán)就轉(zhuǎn)

到隱藏的.com文件，病毒程序就得以運行。當(dāng)執(zhí)行完之

后，控制權(quán)又返回到.exe文件。

電機網(wǎng)絡(luò)安全基礎(chǔ)

6.2計算機病毒的傳播

2.變異

變異又稱變種，這是病毒為逃避病毒掃描和其它反

病毒軟件的檢測，以達到逃避檢測的一種“功能”。

變異是病毒可以創(chuàng)建類似于自己，但又不同于自身“品

種”的一種技術(shù)，它使病毒掃描程序難以檢測。有的變

異程序能夠?qū)⑵胀ǖ牟《巨D(zhuǎn)換成多態(tài)的病毒。

3.觸發(fā)

不少計算機病毒為了能在合適的時候從事它的見不

得人的勾當(dāng)，往往需要預(yù)先設(shè)置一些觸發(fā)的條件，并使

之先置于未觸發(fā)狀態(tài)。如以時間、程序運行了次數(shù)和在

文件病毒被復(fù)制到不同的系統(tǒng)上多少次之后作為觸發(fā)條

件。

1年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.2計算機病毒的傳播

4.破壞

破壞，是大多數(shù)人所提心吊膽的。破壞的形式是多

種多樣的，從無害到毀滅性的。破壞的方式總的來說可

以歸納如下列幾種：修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系

統(tǒng)上的文件、視覺和聽覺效果。

5.高級功能病毒

計算機病毒經(jīng)過幾代的發(fā)展，在功能方面日趨高級，

它們盡可能地逃避檢測，有的甚至被設(shè)計成能夠躲開病

毒掃描和反病毒軟件。隱身病毒和多態(tài)病毒就屬于這一

類。

多態(tài)病毒的最大特點能變異成不同的品種，每個新

的病毒都與上一代有一些差別，每個新病毒都各不相同

1年5月1。日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.3計算機病毒的特點及破壞行為

6.3.1計算機病毒的特點

根據(jù)對計算機病毒的產(chǎn)生、傳染和破壞行為的分析,

總結(jié)出病毒有以下幾個主要特點。

1.刻意編寫人為破壞

2.自我復(fù)制能力

3.奪取系統(tǒng)控制權(quán)

4.隱蔽性

5.潛伏性

6.不可預(yù)見性

2011年5月10H9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.3計算機病毒的特點及破壞行為

632計算機病毒的破壞行為

（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)。攻擊部位包括硬盤主引導(dǎo)扇區(qū)、

Boot扇區(qū)、FAT表、文件目錄。一般來說，攻擊系統(tǒng)數(shù)

據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)。

（2）攻擊文件。病毒對文件的攻擊方式很多，如刪除、

改名、替換內(nèi)容、丟失簇和對文件加密等。

（3）攻擊內(nèi)存。內(nèi)存是計算機的重要資源，也是病毒攻

擊的重要目標(biāo)。病毒額外地占用和消耗內(nèi)存資源，可導(dǎo)

致一些大程序運行受阻。病毒攻擊內(nèi)存的方式有大量占

用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.3計算機病毒的特點及破壞行為

(4)干擾系統(tǒng)運行，使運行速度下降。此類行為也是花

樣繁多，如不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報

警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時鐘

倒轉(zhuǎn)、重啟動、死機、強制游戲、擾亂串并接口等等。

病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入循

環(huán)計數(shù)，迫使計算機空轉(zhuǎn)，運行速度明顯下降。

(5)干擾鍵盤、喇叭或屏幕。病毒干擾鍵盤操作，如響

鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、輸入紊亂等。

許多病毒運行時，會使計算機的喇叭發(fā)出響聲。病毒擾

亂顯示的方式很多，如字符跌落、環(huán)繞、倒置、顯示前

一屏、光標(biāo)下跌、滾屏、抖動、亂寫等。

011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.3計算機病毒的特點及破壞行為

(6)攻擊CMOS。在機器的CMOS中，保存著系統(tǒng)的重

要數(shù)據(jù)，如系統(tǒng)時鐘、磁盤類型和內(nèi)存容量等，并具有

校驗和。有的病毒激活時，能夠?qū)MOS進行寫入動作,

破壞CMOS中的數(shù)據(jù)。例如CIH病毒破壞計算機硬件，

亂寫某些主板BIOS芯片，損壞硬盤。

(7)干擾打印機。如假報警、間斷性打印或更換至符。

(8)網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞

電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。

算機網(wǎng)絡(luò)安全基礎(chǔ)

6.4宏病毒及網(wǎng)絡(luò)病毒

6.4.1宏病毒

所謂宏，就是軟件設(shè)計者為了在使用軟件工作時，

避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。它

利用簡單的語法，把常用的動作寫成宏，當(dāng)再工作時，

就可以直接利用事先寫好的宏自動運行，去完成某項特

定的任務(wù)，而不必再重復(fù)相同的動作。在Word中對宏

定義為“宏就是能組織到一起作為一獨立的命令使用的

一系列Word命令，它能使日常工作變得更容

易?！盬ord宏是使用WordBasic語言來編寫的。

網(wǎng)絡(luò)安全基礎(chǔ)

6.4宏病毒及網(wǎng)絡(luò)病毒

1.宏病毒的行為和特征

所謂“宏病毒”，就是利用軟件所支持的宏命令編

寫成的具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)

的計算機病毒，也是一種跨平臺式計算機病毒，可以在

Windows9X、WindowsNT>OS/2和MacintoshSystem7

等操作系統(tǒng)上執(zhí)行病毒行為。

（1）宏病毒行為機制

Word模式定義出一種文件格式，將文檔資料以及

該文檔所需要的宏混在一起放在后綴為doc的文件之中,

這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的

方法。這種宏是文檔資料，而文檔資料的攜帶性極高,

如果宏隨著文檔而被分派到不同的工作平臺，只要能被

執(zhí)行，它也就類似于計算機病毒的傳染過程。

兀網(wǎng)絡(luò)安全基礎(chǔ)

6.4宏病毒及網(wǎng)絡(luò)病毒

(2)宏病毒特征

①宏病毒會感染.doc文檔和.dot模板文件。

②宏病毒的傳染通常是Word在打開一個帶宏病毒的文

檔或模板時，激活宏病毒。病毒宏將自身復(fù)制到Word

通用(Normal)模板中，以后在打弁或笑閉文柞時宏

病毒就會把病毒復(fù)制到該文件中。

③多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和

AutoExit等自動宏，通過這些自動宏病毒取得文檔(模

板)操作權(quán)。

④宏病毒中總是含有對文檔讀寫操作的宏命令。

⑤宏病毒在.doc文檔、.dot模板中以.BFF(BinaryFile

Format)格式存放，這是一種加密壓縮格式，不同

Word版本格式可能不兼容。

011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.4宏病毒及網(wǎng)絡(luò)病毒

2.宏病毒的防治和清除方法

(1)使用選項“提示保存Normal模板”

(2)不要通過Shift鍵來禁止運行自動宏

(3)查看宏代碼并刪除

(4)使用DisableAutoMacros宏

(5)使用Word97的報警設(shè)置

(6)設(shè)置NormaLdot的只讀屬性

(7)NormaLdot的密碼保護

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.4宏病毒及網(wǎng)絡(luò)病毒

6.4.2網(wǎng)絡(luò)病毒、、

1.網(wǎng)絡(luò)病毒的特點

計算機網(wǎng)絡(luò)的主要特點是資源共享。一旦共享資源

感染病毒，網(wǎng)絡(luò)各結(jié)點間信息的頻繁傳輸會把病毒傳染

到所共享的機器上，從而形成多種共享資源的交叉感染

病毒的迅速傳播、再生、發(fā)作將造成比單機病毒更大的

危害。對于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后

果就不堪設(shè)想。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更

加重要了。

病毒入侵網(wǎng)絡(luò)的主要途徑是通過工作站傳播到服務(wù)

器硬盤，再由服務(wù)器的共享目錄傳播到其它工作站。

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)！

6.4宏病毒及網(wǎng)絡(luò)病毒

2.病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn)

大多數(shù)公司使用局域網(wǎng)文件服務(wù)器，用戶直接從文

件服務(wù)器復(fù)制已感染的文件。用戶在工作站上執(zhí)行一個

帶毒操作文件，這種病毒就會感染網(wǎng)絡(luò)上其它可執(zhí)行這

件。用戶在工作站上執(zhí)行帶毒內(nèi)存駐留文件，當(dāng)訪問服

務(wù)器上的可執(zhí)行文件時進行感染。

文件病毒可以通過因特網(wǎng)毫無困難地發(fā)送，而可執(zhí)

行文件病毒不能通過因特網(wǎng)在遠程站點感染文件。此時

因特網(wǎng)是文件病毒的載體。

引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器

計算機是從一塊感染的軟盤上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器

就可能被引導(dǎo)病毒感染。

1年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.4宏病毒及網(wǎng)絡(luò)病毒

3.專攻網(wǎng)絡(luò)的GPI病毒

4.電子郵件病毒

電子郵件系統(tǒng)的一個特點是不同的郵件系統(tǒng)使用不

同的格式存儲文件和文檔，傳統(tǒng)的殺毒軟件對檢測此類

格式的文件無能為力。另外，通常用戶并不能訪問郵件

數(shù)據(jù)庫，因為它們往往在遠程服務(wù)器上。對電子郵件系

統(tǒng)進行病毒防護可從以下幾個方面著手。

(1)使用優(yōu)秀的防毒軟件對電子郵件進行專門的保護』

(2)使用防毒軟件同時保護客戶機和服務(wù)器1

(3)使用特定的SMTP殺毒軟件1

011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

6.5.1病毒的預(yù)防

通過采取技術(shù)上和管理上的措施，計算機病毒是完

全可以防范的。雖然新出現(xiàn)的病毒可采用更隱蔽的手段,

利用現(xiàn)有DOS系統(tǒng)安全防護機制的漏洞，以及反病毒防

御技術(shù)上尚存在的缺陷，使病毒能夠一時得以在某一臺

PC機上存活并進行某種破壞，但是只要在思想上有反

病毒的警惕性，依靠使用反病毒技術(shù)和管理措施，這新

病毒就無法逾越計算機安全保護屏障，從而不能廣泛傳

播。

網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

(1)對新購置的計算機系統(tǒng)用檢測病毒軟件檢查已知病

毒，用人工檢測方法檢查未知病毒。

(2)新購置的硬盤或出廠時已格式化好的軟盤可能有病

毒。對硬盤可以進行檢測或進行低級格式化，因為對硬

盤只做DOS的Format格式化是不能去除主引導(dǎo)區(qū)(分區(qū)

表扇區(qū))病毒的。

(3)新購置的計算機軟件也要進行病毒檢測。

(4)在保證硬盤無病毒的情況下，能用硬盤引導(dǎo)啟缶的,

盡量不要用軟盤去啟動。

(5)很多PC機可以通過設(shè)置CMOS參數(shù)，使啟動時直接

從硬盤引導(dǎo)啟動。

〔機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

（6）定期與不定期地進行磁盤文件備份工作。

（7）對于軟盤，要盡可能將數(shù)據(jù)和程序分別存放，裝程

序的軟盤要進行寫保護。

（8）在別人的機器上使用過自己的已打開了寫保護的軟

盤，再在自己的機器上使用，就應(yīng)進行病毒檢測。

（9）應(yīng)保留一張寫保護的、無病毒的并帶有各種命令文

件的系統(tǒng)啟動軟盤，用于清除病毒和維護系統(tǒng)。

（10）用Bootsafe等實用程序或用Debug編程提取分區(qū)表

等方法做好分區(qū)表、DOS引導(dǎo)扇區(qū)等的備份工作，在進

行系統(tǒng)維護和修復(fù)工作時可作為參考。

網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

(11)對于多人共用一臺計算機的環(huán)境，應(yīng)建立登記上機

制度，做到使問題能盡早發(fā)現(xiàn)，有病毒能及時追查、清

除，不致擴散。

(12)啟動Novell網(wǎng)或其它網(wǎng)絡(luò)的服務(wù)器時，一定要堅持

用硬盤引導(dǎo)啟動，否則在受到引導(dǎo)扇區(qū)型病毒感染和破

壞后，遭受損失的將不是一個人的機器，而會影響到連

接整個網(wǎng)絡(luò)的中樞。

(13)在網(wǎng)絡(luò)服務(wù)器安裝生成時，應(yīng)將整個文件系統(tǒng)劃分

成多文件卷系統(tǒng)，而不是只劃分成不區(qū)分系統(tǒng)、應(yīng)用程

序和用戶獨占的單卷文件系統(tǒng)。

網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

(14)安裝服務(wù)器時應(yīng)保證沒有病毒存在，即安裝環(huán)境不

能帶病毒，而網(wǎng)絡(luò)操作系統(tǒng)本身不感萊病毒。

(15)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)將SYS系統(tǒng)卷設(shè)置成對其它用戶

為只讀狀態(tài)，屏蔽其它網(wǎng)絡(luò)用戶對系統(tǒng)卷除讀取以外的

其它所有操作，如修改、改名、刪除、創(chuàng)建文件和寫文

件等操作權(quán)限。

(16)在應(yīng)用程序卷安裝共享軟件時，應(yīng)由系統(tǒng)管理員進

行，或由系統(tǒng)管理員臨時授權(quán)進行。

(17)系統(tǒng)管理員對網(wǎng)絡(luò)內(nèi)的共享電子郵件系統(tǒng)、共享存

儲區(qū)域和用戶卷進行病毒掃描，發(fā)現(xiàn)異常情況應(yīng)及時處

理，不使其擴散。

機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

(18)系統(tǒng)管理員的口令應(yīng)嚴(yán)格管理，為了防止泄漏，要

定期或不定期地進行更換，保護網(wǎng)絡(luò)系統(tǒng)不被非法存取、

感染上病毒或遭受破壞。

(19)在網(wǎng)絡(luò)工作站上采取必要的抗病毒技術(shù)措施，可使

網(wǎng)絡(luò)用戶一開機就有一個良好的上機環(huán)境，不必再擔(dān)心

來自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身病毒。

(20)在服務(wù)器上安裝LanProtect等防病毒系統(tǒng)。實踐表

明，這些簡單易行的措施是非常有效的。

算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

作為應(yīng)急措施，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)牢記下列幾條。

(1)在因特網(wǎng)中，由于不可能有百分之百的把握來阻止

某些未來可能出現(xiàn)的計算機病毒的傳染，因此，當(dāng)出現(xiàn)

病毒傳染跡象時，應(yīng)立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進

行處理。不應(yīng)讓系統(tǒng)帶病毒繼續(xù)工作下去，要按照特別

情況查清整個網(wǎng)絡(luò)，使病毒無法反復(fù)出現(xiàn)來干擾工作。

(2)由于計算機病毒在網(wǎng)絡(luò)中傳播得非常迅速，很多用

戶不知應(yīng)如何處理。因此，應(yīng)立即請求專家的幫助

(3)注意觀察下列現(xiàn)象：

?文件的大小和日期是否變化；

?系統(tǒng)啟動速度是否比平時慢；

?不做寫操作時出現(xiàn)“磁盤有寫保護”信息；

011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢、查和清除

?對貼有寫保護的軟盤操作時聲音很大;

?系統(tǒng)運行速度異常慢；\

?用MI檢查內(nèi)存發(fā)現(xiàn)不該駐留的程序已駐留;

?鍵盤、打印或顯示有異?，F(xiàn)象；

?有特殊文件自動生成；

?磁盤空間自動產(chǎn)生壞簇或磁盤空間減少；

?文件莫名其妙地丟失；

?系統(tǒng)異常死機的次數(shù)增加。

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

652病毒的檢查

計算機病毒要進行傳染，必然會留下痕跡。檢測計

算機病毒，就是要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情

況，并進而驗明“正身”，確認計算機病毒的存在。病

毒靜態(tài)時存儲于磁盤中，激活時駐留在內(nèi)存中,因此對

計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。

1.病毒的檢查方法

檢測的原理主要是基于下列四種方法，比較被檢測

對象與原始備份的比較法，利用病毒特征代碼串的搜索

法，病毒體內(nèi)特定位置的特征字識別法以及運用反匯編

技術(shù)分析被檢測對象，確認是否為病毒的分析法。

1年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

(1)比較法

比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測

的文件進行比較。\

(2)搜索法

搜索法是用每一種病毒體含有的特定字符串對被檢

測的對象進行掃描。

(3)計算機病毒特征字的識別法

計算機病毒特征字的識別法是基于特征串掃描法發(fā)

展起來的一種新方法。它工作起來速度更快、誤報警更

少。特征字識別法只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的

特征字來組成特征字庫。

1網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

(4)分析法

本方法由專業(yè)反病毒技術(shù)人員使用。

分析法的目的在于：

①確認被觀察的磁盤引導(dǎo)區(qū)和程序中是否含著病毒；、

②確認病毒的類型和種類，判定其是否是一種漏毒；

③搞清楚病毒體的大致結(jié)構(gòu)，提取特征識別用的字節(jié)串

或特征字，用于增添到病毒代碼庫供病毒掃描和識別程

序用；\

④詳細分析病毒代碼，為制定相應(yīng)的反病毒措施制定方

案。

011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

2.病毒掃描程序

這種程序找到病毒的主要辦法之一標(biāo)是尋找掃描串，

也被稱為病毒特征。這些病毒特征能唯』識別某種類

型的病毒，掃描程序能在程序中尋找這種病毒特征。

3.完整性檢查程序

另一類反病毒程序，它是通過識別文件和系統(tǒng)的改

變來發(fā)現(xiàn)病毒，或病毒的影響。

4.行為封鎖軟件

該軟件的目的是防止病毒的破壞。通常，這種軟件

試圖在病毒馬上就要開始工作時阻止它。每當(dāng)某一反常

的事情將要發(fā)生時，行為封鎖軟件就會檢測到病毒并警

告用戶。

1年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

6.5.3計算機病毒的免疫

計算機病毒的免疫，就是通過二定的方法，

使計算機自身具有防御計算機病毒感染的能力

1.建立程序的特征值檔案\

2.嚴(yán)格內(nèi)存管理

3.中斷向量管理』

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

6.5.4計算機感染病毒后的恢復(fù)

1.防止和修復(fù)引導(dǎo)記錄病毒

防止軟引導(dǎo)記錄、主引導(dǎo)記錄和分區(qū)引導(dǎo)記錄病毒

的較好方法是改變計算機的磁盤引導(dǎo)順序，避免從軟盤

引導(dǎo)。必須從軟盤引導(dǎo)時，應(yīng)該確認該軟盤無毒。

(1)修復(fù)感染的軟盤

⑵修復(fù)感染的主引導(dǎo)記錄?

(3)利用反病毒軟件修復(fù)W

2.防止和修復(fù)可執(zhí)行文件病毒

網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

6.5.5計算機病毒的清除

1.使用DOS命令處理病毒

2.引導(dǎo)型病毒的處理

與引導(dǎo)型病毒有關(guān)的扇區(qū)大概有下面三個部分。

(1)硬盤的物理第一扇區(qū)，即0柱面、0磁頭、1扇區(qū)是開

機之后存放的數(shù)據(jù)和程序是被最先訪問和執(zhí)行的這個

扇區(qū)成為“硬盤主引導(dǎo)扇區(qū)”。在該扇區(qū)的前半部分，

稱為“主引導(dǎo)記錄”(MasterBootRecord),簡稱

MBRo

(2)第二部分不是程序，而是非執(zhí)行的數(shù)據(jù)，記錄硬盤

分區(qū)的信息，即人們常說的“硬盤分區(qū)表”(Partition

Table),從偏移量1BEH開始，至IJ1FDH結(jié)束。

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

(3)硬盤活動分區(qū)，大多是第一個分區(qū)的第一個扇區(qū)。

一般位于0柱面、1磁頭、1扇區(qū)，這個扇區(qū)稱為“活動

分區(qū)的引導(dǎo)記錄”，它是開機后繼MBR后運行的第二

段代碼的運行所在。其它分區(qū)也具有一個引導(dǎo)記錄

(BOOT),但是其中的代碼不會被執(zhí)行。

運行下面的程序來完成：\

>“Fdisk/MBR”用于重寫一個無毒的MBR。

A“Fdisk"用于讀取或重寫硬盤分區(qū)表。W

>uFormatC：/S”或“SYSC：”會重寫一個無毒的

“活動分區(qū)的引導(dǎo)記錄”。對于可以更改活動分區(qū)的情

況，需要另外特殊對待。

011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

3.宏病毒清除方法

對于宏病毒最簡單的清除步驟為：

(1)關(guān)閉Word中的所有文檔。

⑵選擇“工具/模板/管理器/宏”選項。

(3)刪除左右兩個列表框中所有的宏(除了自己定義的)

(一般病毒宏為AutoOpen、AutoNew或AutoClose)。

(4)關(guān)閉對話框。

(5)選擇“工具/宏”選項。若有AutoOpen>AutoNew或

AutoClose等宏，刪除之。

算機網(wǎng)絡(luò)安全基礎(chǔ)

6.5病毒的預(yù)防、檢查和清除

4.殺毒程序

殺毒程序是許多反病毒程序中的'員，但它在處理

病毒時，必須知道某種特別的病毒的信息，然后才能按

需要對磁盤進行殺毒。

對于文件型病毒，殺毒程序需要知道病毒的操作過程，

如它將病毒代碼依附在文件頭部還是尾部。一且病毒被

從文件中清除，文件便恢復(fù)到原先的狀態(tài)，原先保存病

毒的扇區(qū)被覆蓋，從而消除了病毒被重新使用的可能性

對于引導(dǎo)扇區(qū)病毒，在使用殺毒程序時需格外的小心

謹慎，因為在重新建立引導(dǎo)扇區(qū)和MBR（主引導(dǎo)記錄）

時，如果出現(xiàn)錯誤，其后果是災(zāi)難性的，不但會導(dǎo)致磁

盤分區(qū)的丟失，甚至丟失硬盤上的所有文件，使系統(tǒng)再

也無法引導(dǎo)了。

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.6病毒防御解決方案

6.6.1Intel多層次病毒防御方案

IntelLANDeskVirusProtect是一個易于管理的多層

次病毒防御解決方案，它把病毒的檢測，數(shù)據(jù)的保護，

以及集中式的全域控制組織在一起，從而保證了病毒

“治療”并不比疾病本身更差。

1.功能

IntelLANDeskVirusProtect有下列三層保護的功能：

后臺實時掃描、完整性保護和完整性檢驗。

2.集中式管理1

3.服務(wù)器/客戶機病毒防御的靈活選擇1

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.6病毒防御解決方案

6.6.2KV3000殺病毒軟件簡介

1.功能簡介

KV3000是一套系列殺毒軟件，可分為DOS版和

Windows95/98/ME/2000/NT4版，該軟件保存在兩張磁

盤和一張光盤上。KV3000具有預(yù)防、瀏覽和消除病毒

的功能，并具有獨特的開放式系統(tǒng)。\

2.KV3000的功能和使用格式

3.保存和恢復(fù)正確的硬盤主引導(dǎo)信息W

4.清除所有引導(dǎo)區(qū)型病毒

5.恢復(fù)當(dāng)前硬盤的主引導(dǎo)信息]

2011年5月10日9時57分計算機網(wǎng)絡(luò)安全基礎(chǔ)

6.6病毒防御解決方案

6.安裝和使用實時監(jiān)測病毒程序KVW3000.EXE

KV3000掃描程序